Dans l’idée de protéger davantage la confidentialité des données de ses utilisateurs, Apple avait lancé « Connexion avec Apple » avec iOS 13. Cette fonction permet de s’inscrire et de s’identifier sur les applications qui la prennent en charge sans avoir à rentrer une quelconque adresse e-mail ou un mot de passe. Pour ce faire, c’est l’identifiant Apple – indispensable à l’utilisation des produits du constructeur – qui entre en jeu, et qui permet de s’authentifier sur des apps tierces. Sauf que, malgré la bonne idée d’Apple et son côté pratique, la fonction n’est pas dépourvue de tout défaut. Un chercheur en sécurité, répondant au nom de Bhavuk Jain, a en effet alerté Apple d’une faille majeure dans « Connexion avec Apple » en avril dernier.
Cette faille zero-day n’est pas tant à imputer à Apple qu’aux développeurs tiers, qui n’avaient pas nécessairement choisi d’adopter une sécurité supplémentaire lorsque l’option était en place. Dans les faits, cette faille se reposait justement sur l’envoi de l’autorisation de l’application vers les serveurs d’Apple. C’était précisément durant ce transfert que se situait la faille, puisque des hackers pouvaient alors intercepter les données, puis faire valider les autorisations directement sur les serveurs d’Apple. Résultat : ils pouvaient alors prendre la main sur le compte Apple, avec l’importance qu’on lui connaît. C’est en effet sur ce compte unique que se basent tous les produits et l’écosystème d’Apple, et son piratage pourrait avoir des conséquences dramatiques pour l’utilisateur concerné. Fort heureusement, la faille a depuis été corrigée par Apple. Bhavuk Jain l’a en effet communiqué à la firme de Cupertino, qui l’a par la suite récompensé d’un joli chèque de 100 000 dollars. La forteresse de l’écosystème d’Apple est donc redevenue inviolable… jusqu’à la prochaine faille de ce genre.
[amazon box=”B0875KX4ZZ”]
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.